- 일본 대기업들이 공급망 전체의 사이버 보안 대책을 점검하고 취약한 기업과의 거래를 재검토. 거대한 조달망에서 단 한 곳의 사이버 피해로 생산 활동이 중단되고 고객사까지 영향을 미칠 수 있기 때문. 경제 안보 차원에서 반도체 산업 등에서 사이버 방어력을 강화하는 움직임이 확산되고 있음.
- 반도체 대기업 KIOXIA는 리스크가 높은 거래처와의 계약을 재검토. 거래기업에는 부품 납품과 업무 위탁, 클라우드 서비스 등 약 3000개에 달하는 거래처가 존재. 미국 시큐리티스코어카드의 툴을 사용해, 웹사이트와 서버의 보안 설정, 취약점 유무 등 약 200개 항목을 평가할 예정.
- 올 가을부터 3000개사 중 보안 대응력이 낮은 기업을 추출해 개선을 촉구. 반도체 공장은 한번 가동이 중단되면 피해 규모가 커지기 쉬워, 담당자는 “기존 거래처에서도 취약점이 발견돼 중장기적으로 개선이 이뤄지지 않으면 다른 조달처를 찾게 될 것”이라며 강경한 자세로 임할 것을 강조함.
- 외부에서 확인할 수 있는 보안 상 취약점을 방치하는 기업은 공격자에게 좋은 표적이 될 수 있음. KIOXIA는 신규 계약처도 진단하고 그 결과를 조달 부서에 공유할 방침.
- 인쇄 대기업 TOPPAN홀딩스는 개인정보를 포함한 데이터 관리 위탁업체 500곳을 대상으로 외부 진단 툴과 방문 인터뷰 등을 조합해 시큐리티 내구성을 감사. 개선을 기대할 수 없는 기업에는 중요정보의 위탁을 중단할 방침.
- 올해 안에 점검 대상을 제조 부문의 부품 조달처까지 확대. 중요 거래처에는 사이버 피해 발생 시 대응 방안을 계약 조건에 새롭게 포함시키는 방안도 검토.
- DMG모리정기(DMG森精機)는 IT부문 담당자가 조달부문과 함께 작은 공장까지 포함한 거래처를 방문. 두 부서가 공동으로 거래처를 대상으로 워크숍을 열어 그룹 안팎의 강인성을 높이겠다는 생각.
- 대기업이 거래처에 대책을 요구하는 것은 사이버 피해가 자사 사업 중단과 직결되기 때문. 보안 평가 업체 어슈어드에 따르면, 대기업 보안 담당자의 64%가 ‘거래처를 통한 피해가 있었다’고 응답.
- 상징적인 사례가 도요타자동차로, 2022년 협력업체 고지마프레스공업의 사이버 피해로 도요타의 일본국내 모든 공장이 정지. ‘24년에는 정보처리서비스 기업인 이세토의 피해로 지자체와 공문교육연구회, 구보타 자회사 등의 개인정보가 유출된 바 있음.
- 트랜드마이크로에 따르면, 사이버 피해를 입은 일본국내 300개사의 평균 피해액은 약 1억7000만 엔. 랜섬웨어의 경우 업무 중단에서 복구까지 평균 10일이 소요됨.
- 경제산업성은 ’26년도에 기업의 사이버 대책을 5단계로 등급을 매기는 제도를 시작. 공급망 전체의 방어력을 높이는 지표로 활용될 전망.